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^= (54) Title: ACCESS METHOD AND DEVICE FOR SECURING ACCESS TO INFORMATION SYSTEMS 

(54) Titre : PROCEDE ET DISPOSITIF D'ACCES POUR SECURISER L ACCES AUX SYSTEMES D'INFORMATION 

fs| (57) Abstract: The invention relates to an access metliod and device for securing logical access to computer resources (2) and/or 
infoimation (1) belonging to a group of computer equipment (3), whereby logical access is slowed down as little possible. The gxoup 
of computer equipment (3) exchanges data (4) with a computer teleconmiunication network (5) via said access device (6). The data 

00 (4) comprise data which are transported (7) in compliance with at least one application protocol (8) and transport data (9). The 
access device (6) consists of: an operating system (10) comprising one analysis module (14) which is suitable for each application 

^ protocol (8). and filtration means which are used to filter the aforementioned transported data (7) in the operating system (10) using 

1^ the above-mentioned analysis modules (14). 
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(57) Abrege : Uinvention conceme un pn>c^6 et un dispositif d'acc^ pour s6curiser Tacc^s logique k des informations (1) et/ou k 
des ressources informatiques (2) d'un ensemble d*6quipements informatiques (3) en ralentissant le moins possible Tacc^s logique. 
Lensemble d*^uipements informatiques (3) 6change des donnees (4) avec un r6seau de t^l^conununication informatique (5). via 
ledit dispositif d'accds (6). Les donnees (4) comportent des donnees transport6es (7) conform6ment h au moins un protocole appli- 
cadf (8) et des donnees de transport (9). Le dispositif d'acc^s (6) comprend - un syst^me d* exploitation (10) comportant un module 
d' analyse (14) appropri6 pour chaque protocole applicatif (8), - des moyens de filtration pour filtrer, dans ledit systdme d* exploitation 
(10), lesdites donnees transport^ (7), au moyen desdits modules d'analyse (14). 
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FPOCmE ET DXSFOSITIF D*ACCES POOR SECORISER Ii*ACCBS ADX 
SYSa!EMES D*lNFQBM2V!riGN 

La pr^sente invention concerne tan proc^d^ et un 
dispositif pour s6curiser I'accfes aux syst^es information, 
D^finl-blons 

Au sens de la presente invention, on d^signe d'xine 
5 maniere g^n^rale par ^^applications" des applications logicielles 
dans le doinaine des conminications . 

Au sens de la presente invention, on d^signe d'une 
maniere g&i^rale par protocole ^^applicatif" un protocole qui 
r^git l'6change d' information entre applications. 
10 Au sens de la presente invention, on d^signe d'une 

maniere g^Srale par attaque cqpplicative une attaque c[ui 
utilise : 

• soit les vuln^rabilit^s d'un protocole 
^^applicatif, 

15 • soit les vuln6rabilit6s li^es k I'irqDl&nentation 

par un d6veloppeur d'un protocole ^^applicatif, 

• soit les vuln6rabilit6s li6es k 1' utilisation 
d'lane application, notamment par* un administrateur r^seau. 

Ze probl&ae posd 

-20.- Contexte*: S6curit6 d'acc^s axix systSmes d' information 
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Tous les experts s'entendent sur le fait que le risque 
li6 & la s6curit6 informatique est en trfes forte progression. 

Quels sent les facteurs de croissance de ce risque ? 

Trois facteurs principaux ont 6t6 identifies. 

Premier facteur de risque : la croissance 
exponentielle du noiribre de pirates. 

Le noitibre des intemautes a 6t€ multipli6 par deiix en 
trois ans. lis disposent de boltes k outils en libre-service sur 
le net. Les legislations intemationales visant k r^duire les 
fraudes sont inexist antes ; par example au Japon il n'y a pas de 
loi sur la cyber-d^linquance . EnfdLn/ on constate vn 
develpppeitient d'un nouveau type de pirate dans les lyc^es et les 
campus universitaires pour qui le piratage est un jeu et cracker 
le plus grand noiribre de sites un concours. Ces pirates 
informatiques/ coirmun§inent appalls des ^^script kiddies'' n'ont 
que peu de connaisscuices techniques, mais ils utilisent des 
^^boltes ^ outils" de programmes/ generalement trouv^es sur 
Internet/ permettant d'attaquer des syst&nes informatiques. 

Deiaxi^me facteur de risque : la mondialisation des 

^changes. 

Dans I'fere da I'antreprise communicante et de la 
reduction des couts, les entreprises sont tenues d'utiliser des 
madias de communication eff icace du type Internet permettant des 
^changes de mail, des sites de e-commerce/ des edi {^change de 
documents informatis^s) . 

Les entreprises 6changent de plus en plus de 
documents. Ces documents contiennent de plus en plus 
informations. Ces informations ont de plus en plus de valeur. 

Par ailleurs, les entreprises sont tenues d'aller 
vite. Elles ne prennent pas tou jours toutes les precautions 
qu'elles devraient prendre. 

Troisidme facteur de risque : I'ouverture des 
entreprises sur le monde iitplique que les syst^mes informatiques 
soient eux aussi de plus en plus ouverts vers I'exterieur. Les 
systemes dlnformatiques sont interconnectes . Le LAN de 


wo 2004/054198 PCTAFR2003/050132 


3 

1' ent reprise (Local Area Network. Roseau local de 1' ent reprise) 
devient xin des postes du r^seau mondial. 

On constate 6galement que les systemes informatiques 
sent de plus en plus conplexes. lis pr6sentent de ce fait des 
5 bugs autrement dits trous de s6curit6. Par ailleurs des systemes 
informatiques complexes sont difficiles ci administrer et par 
consequent difficiles k s^curiser. 

La statistique 2001 du CERT (Computer Emergency 
Response Team) a r^pertori^, en 2001, 52658 dilitSr soit une 
10 croissance de 142% par rapport ^ 2000. 

Comment r§ussit-on k p^n^trer xm systeme informaticjue 

La quasi-totalite des attaques de vulnerability peut 
6tre r§partie en trois classes : 
15 - (a) Les attaques exploitant une faiblesse des 

protocoles utilises (par exemple le Sniffing sur IP) • Le 
Sniffing sur IP est une technique qui consiste a- intercept er une 
communication sur un r^seau pour obtenir des informations. 

- (b) Les attaques exploitant un bug se situant dans 
20 la pile TCP/IP du systeme d' eaqploitat ion . Certaines attaques 
sont connues sous le nom de « Ping de la mort », « Teardrop »- 

On rappelle bridvement qu'au sens de la pr^sente 
invention les sigles : 

TCP : Transmission Control Protocol, d6signe un 
25 Protocole de transport (niveau 031/ 4) utilis6 dans la famille de 
protocoles TCP/IP, 

TCP/IP : Transmission Control Protocol/Internet 
Protocol, d6signe line famille de protocoles utilises dans 
1' interconnexion de r^seaux de type IP. 
30 -(c) Les attaques ^^applicatives" utilisant les 

donn^es transport6es . On peut notamment mentionner des attaques 
^^applicatives" exploitant des bugs dans les applications de 
communication des systfemes, par exenple des trous de s6curite 
dans les serveurs DNS bind ou dans les serveurs Web IIS. On 
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rappelle briftvement qu'au sens de la pr6sente invention les 
sigles : 

• DNS (Domain Name System) d^signe un Protocole 
^^applicatif permettant la conversion de nom de systeme (par 

5 exerrple : www.yahoo.com) en adresse IP (par exemple : 
123.234.231.135), 

• IP (Internet Protocol) designe un protocole de 
r6seau (Niveau OSl/3) utilise sur le r^seau Internet. 

II ressort des statistiques que la grande majorite des 
10 vuln6rabilit4s decouvertes se trouvent au- niveau des attaques 
^^applicatives" . Ainsi/ la principale menace se situe au niveau 
des trous de s6curit6 des applications de communication. 

Tel est le probl&ne pos6 par la pr^sente invention : 
r6duire les risques des attaques "aj^licatives" . 
15 L'art ant6rieur 

On connait de\ix technologies pour r^soudre le probleme 
pos§ et assurer la s^curit^ des r^seaux IP : 

La technologie, ci-apr^s d6nomm^e technologie 
^^Stateful", 

20 La technologie, ci~apres d^nomm^e technologie /^Proxy" . 

(a) La technologie ^^Stateful" autrement dit maintien 
d'une table de connexion active 

(al) La technologie de ^^filtrage statique de paquet" 
(static packet filtering) 

25 Les premiferes fonctionnalit^s de protection des 

r^seaux IP 6taient int6gr6es dans des routeurs. Les routeurs 
int^grent un m^canisme de filtrage de paquets IP statiques. En 
fonction des informations lues dans l'ent§te des paquets IP, au 
niveau des ent§tes Roseau et Transport, le paquet est accepts ou 

30 non grtce k une liste de regies de filtrage d^finie par un 
administrateur. L' inconvenient principal de cette technologie 
est son cats statique. Elle ne peut rattacher un ^^aquet de 
r6ponse" k un ^^aquet de requete" ^s quelques instants plus 
tat. Par consequent, lorsqu'on utilise lane technologie de 

35' ^"filtrage statique de paquet'', on est oblige d' accepter tous les 
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^'^paquets de ir^onse'' sans pouvoir les rattacher aux requ§tes 
pr^c^emmenl: 6mises. II en r6sulte un probltee en terme de 
s6cnirit4 puisqu^il suffit, par exeirple, de positionner le 
drapeau ACK dans l^ent§te TCP d'un paquet pour que ce paquet 
soit accepts par le routeur. On rappelle brievement qu'au sens 
de la pr^sente invention le sigle ACK (ACKnowledgement, Acciis6 
de reception) d^signe un drapeau utilise dans lane ent§te de type 
TCP. 

(a2) La technologie ^^Stateful" 

La technologie ^^Stateful'' surmonte en partie cet 
inconvenient en g^rant lane table de connexions actives, qui 
permet de rattacher les ^^quets de r^ponse" aux ^^aquets de 
requSte'' §mis pr6c6deinment . De plus, cette technologie implique 
g6neralement la lectiire d' informations dans les donnees 
transport6es, par opposition aux informations contenues dans 
I'en tete du paquet, pour permettre la gestion des connexions 
secondaires, bashes sur des ports dynamiques* Par exerrple, tout 
transfert FTP utilise tine connexion secondaire dynamique, dont 
les ports sont n6goci6s via la connexion de contrdle sur le port 
tcp/21. On rappelle brievement qu'au sens de la presente 
invention le sigle FTP (File Transfer Protocol) designe ion 
protocole utilise pour transferer des fichiers sur un reseau de 
type TCP/IP. 

La technologie ^^Stateful" est generalement impiementee 
dans le noyau des systemes, voire eitibcurquee dans un systeme 
temps reel/ ce qui assure de bonnes performances en termes de 
debit. En revanche la technologie ^^Stateful" ne permet pas 
d' assurer le respect des protocoles ^^applicatifs" au cours d'un 
echange de donnees, puisque la technologie ^^Stateful" se limite 
k extraire des donnees transportees les informations necessaires 
k 1' etablissement et au maintien des connexions secondaires. Or, 
ainsi que cela a ete explique, les risques d'^attaque se situent 
principalement au niveau des donnees transportees. 
(b) La technologie ^^Proxy" 
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Dans le cas de la technologie ^^Proscy", autrement 
appel^e technologie ^"^Mandataire", le client ne s'adresse pas 

directement au serveur* Bar exeirpler le browser appel6 aussi 
navigateur^ se connecte au serveur Web 6galement appel6 serveior 
5 r^seaUf en passant par un ^^Proxy" qui va effectuer la requ§te k 
sa place et lui renvoyer la rSponse. 

Cette technologie permet done de filtrer les donn^es 
transport^es, ce qui a un int6r§t Evident en terme de security. 
Par contre, son ircpl^mentation en tant qu' application situ6e 
10 ^^au~dessus" d'un systems d' exploitation, la rend beaucoup mo ins 
performante en termes de debit que la technologie ^^Stateful". 
Get inconvenient majeur de la technologie "Proxy" entralne des 
performances insuffisantes par rapport aux debits recherch^s sur 
les r^seaux IP. 
15 Conclusion 

On peut done r^sumer de la mani^re suivante les 
inconyenients des solutions connues. 

La s6curit§ de la technologie "Stateful" est 
insuf f isante • 

20 Le d^it de la technologie "Proxy" est insuf fisant 

La solution selon 1' invention 

La technologie propos^e par la presente invention sera 
ci— apr^s d^sign^e par le sigle FAST, ou egalement en langue 
anglaise : Fast Applicative Shield Tec±Lnology. La technologie 

25 FAST r^soiit le probl&ne pos^ en Svitant les inconv^nients des 
technologies connues "Stateful" et ^^Proxy La technologie FAST 
permet de s^cxiriser I'acc^s aux syst^es d' information en 
evitant les risques d'attaques "applicatives" et en limitant les 
pertes de d§bit. 

30 Procsede 

L' invention concerne un proc6d6 pour s^curiser I'acc^s 
logique k des informations et/ou k des ressources informatiques 
d'un ensemble d' 6quipements informatiques en raLLentissant le 
moins possible I'acces logique. L' ensemble d' ^quipements 

35 informatiques ^change des donn^es avec un r^seau de 
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telecommunication informatique, via un dispositif d'accSs. Les 
donnees conportent des donn6es transport6es conform§ment k au 
moins un protocole applicatif et des donn6es de transport. Le 
dispositif d'acces comporte un systeme d' exploitation. 
5 Le proc6d6 selon 1' invention comprend les 6tapes 

suivantes : 

I'etape de definir potir chaque protocole 
applicatif f ion automate k etat fini, 

I'etape de modeliser, sous la forme d'un modele^ 

10 chaque automate a etat fini, 

I'etape de generer au moyen d'un interpreteur, k 
partir de chaque modele, un module d' analyse de chaque protocole 
applicatif/ 

I'etape de filtrer, dans le systeme 
15 d'es^loitation, les donnees transportees, au moyen des modules 
d' analyse . 

De preference, selon 1' invention, le precede coirprend 
en outre I'etape de verifier au moyen des modules d' analyse la 
conformite des donnees transportees par rapport aux protocoles 
20 applicatif s concernes. 

De preference, selon 1' invention, le precede comprend 
en outre I'etape de restreindre au moyen du module d' analyse les 
possibilites offertes par un protocole applicatif. 

Gx^CB k la combinaison de ces deux fonctionnalites 
25 (verifier et Restreindre), la technologie selon 1' invention 
permet de detecter et de bloquer un nombre iiqportant d'attaques 
^^applicatives" • II a pu etre etabli que ces deux fonctionnalites 
permettent de detecter et de bloquer 90% des attaques connues 
sur les serveurs Web Apache et IIS sans qu'il soit necessaire de 
30 leur integrer uxie ^^base de signature d'attaques" comme dans le 
cas des systSmes de detection d' intrusion. 

De preference, selon 1' invention, le precede con?>rend 
en outre I'etape, pour lin administrateur reseau, de parametrer 
les modules d' analyse en fonction de restrictions 
3 5 predet eiitiinees . 
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Dlsposlblf . 

L» invention conceme 6galCTient un dispositif d'acc^s 
pour s6curiser I'acc^s logique k des informations et/ou k des 
ressources informatiques d'uum enseirible d' ^quipements 
5 informatiques en ralentissant le modLns possible I'acces logique. 
L' ensemble d' 6quipements informatiques ^change des donn^es avec 
vn r^seau de telecommunication informatique^ via le dispositif 
d'acc^s. Les donn^es comportent des donnees transport^es 
conform&nent h au moins un protocole applicatif et des donnees 
10 de transport. Le dispositif d'^acces comporte : 

- vin syst^me d' exploitation comportant un module 
d' analyse approprie pour chaque protocole applicatif , 

des moyens de filtration pour filtrer, dans le 
syst^me d' escploitation, les donnees transport^es, au moyen des 
15 modules d' analyse. 

De preference, selon I'invention, chaque module 
d' analyse iirplemente un automate a etats finis repr6sentatif 
d'un protocole applicatif determine. 

De preference, selon 1* invention, les modules 
20 d' analyse comportent des premiers moyens de traitement 
informatique pour verifier la conformite des donnees 
transportees par rapport aux protocoles applicatif s concernes. 

De preference, selon 1' invention, les modules 
d' analyse comportent des seconds moyens de traitement 
25 informatique pour restreindre les possibilites offertes par un 
protocole applicatif. 

De preference, selon 1* invention, le dispositif 
d'acces comprend en outre des moyens de par amet rage permettant a 
administrateur reseau de parametrer les modules d' analyse en 
30 fonction de restrictions predeterminees . 
Desarlpblon d6b ai1 . 1 6 o 

D'autres caracteristiques et avantages de 1' invention 
apparaltront k la lecture de la description de variantes de 
realisation de 1' invention donnees k titre d'exemple indicatif 
35' et non limitatif, et de la 
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figure 1 qui repr6sente de manifere sch&natique un 
r^seau local d'entreprise 3 prot6g6 par un dispositif 6 selon 
1' invention contra des attaques provenant d'un r6seau de 
communication informatique de type Internet, 

figure 2 qui repr^sente la structure des donn6es 4 
echang6es via un dispositif 6 selon 1' invention, 

figure 3 qui repr^sente de maniSre sch^matique \an 
dispositif 6 selon 1' invention, 

figure 4 qui represente de maniere schdmatique la 
m^thode de construction d'm module d' analyse 14 a partir d'un 
automate k etats finis. 

On va roaintenant d^crire en se r^f§rant aux figures et 
notamment k la figure 1 un r6seau local d'entreprise 3 prot6g6 
par un dispositif 6 selon 1' invention centre des attaques 
provenant d'lan r^seau de communication informatique 5 de type 
Internet . 

Le dispositif d'acces 6 a pour dbjet de securiser 
I'acces logique k des informations 1 et/ou k des ressources 
informatiques 2 d'un ensemble d' 6quipements informatiques 3 en 
ralentissant le moins possible ledit acces logique. 

L' ensemble d'^ ^quipements informatiques 3 echange des 
donn^es 4 avec un r^seau de telecommunication informatique 5, 
via ledit dispositif d'acc^s 6. Dans le cas de la variante de 
realisation d^crite le r^seau de telecommunication informatique 
5 est du type Internet. Les equipements informatiques 3 peuvent 
§tre des serveurs, des postes de travail etc .... 

De maniere connue en soi, les donnees 4 coirportent des 
donnees transportees 7 conformement ^ au moins un protocole 
applicatif 8 et des donnees de transport 9 (voir figure 2) . 

Le dispositif d' acces 6 selon 1' invention comprend un 
systeme d' exploitation 10. Le systeme d' exploitation 10 comporte 
■ des modules d^ analyse 14 appropries pour chaque protocole 
applicatif 8 utilise. Les modules d' analyse 14 du systeme 
d'emloitation 10 filtrent les donnees transportees 7.^ 
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Chaque module d' analyse 14 inpl&nente un automate h 
6tats finis 11 repr6sentatif d'un protocole applicatif 8 
d§termin6. Pour r6aliser un module d' analyse 14, on mod61ise 
sous la forme d'\m module 12 chaque automate k §tats finis 11, 
5 notamment en utilisant une matrice de transition des etats. Puis 
on g€nhre au moyen d'un interpr6teur 13, k partir de chaque 
module 12, le module d' analyse 14 de chaque protocole 
applicatif 8 (voir figure 4) . 

Chaque module d' analyse 14 coirporte des premiers 
10 moyens de traitement informatique 17 pour verifier la conformity 
des. donn6es transpqrt§es 7 par rapport aux protocoles 
applicatif s 8 concern^s. Chaque module d' analyse 14 comporte en 
outre des seconds moyens de trait«nent informatique 18 pour 
restreindre les possibilit^s offertes par un protocole 

15 applicatif 8. 

Le systeme d' exploitation et les modules d' analyse 14 
associ^s constituent des moyens de filtration des donn6es 

transportees 7. 

Le dispositif d'accfes 6 comprend en outre des moyens 
20 de param6trage 19. Ces moyens de param6trage 19 permettent k un 
administrateur r6seau 15 de param6trer les modules d' analyse 14 
en fonction de restrictions pr6d6termin6es 16, ainsi que cela 
' sera ci-apres pr6cis6. 

Grace au dispositif d'acc^s 6 selon 1' invention, il 
25 est possible de verifier le bon respect des protocoles 
applicatifs, ce qui permet de bloquer un tr6s grand nombre 
d'attaques ^'applicatives" sans les connaltre, notamment celles 
violant les RFC ("Normes IP ") . On rappelle bri^vement qu'au 
sens de la pr6sente invention le sigle RFC (Request For Cooroent) 
30 d€signe diff brents documents normatifs dans lesquels sont 
specif i6s Igs diff brents protocoles de la famille TCP/IP. 

De plus, la technblogie selon 1' invention permet de 
restreindre les possibilit6s offertes par une application. Par 
exenple, la technologie selon I'ji-nvention pei^et de li^^ 
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commandes disponibles sur un protocols ^applicatif ou de 
n'autoriser I'accfes qu'i certaines donn^es^ etc... 

Grace k la corribinaison de ces detox fonctionnalit^s 
(Verifier et Restreindre) , la technologie selon 1' invention 
5 penciet de d6tecter et de bloquer un nonibre iinportant d'attaques 
^^applicatives''. II a pu 4tre 6tabli que ces deux fonctionnalit^s 
permettent de d^tecter et de bloquer 90% des attaques connues 
sur les serveurs Web Apache et IIS sans qu'il soit n^cessaire de 
leur int§grer une ^^base de signature d' attaques" comme dans le 
10 cas des systemes de detection d' intrusion , 

La technologie selon I'' invention a et6 d6velopp6e sur 
un syst&ne d' exploitation Linux. II est k la port^e de I'homme 
de metier de la mettre oeuvre sur d'autres syst&nes du m§ine type. 
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NOMENCIATUKE 


Gspcnjo^ TirwiH rial 

Nun* 


1 


2 


3 


4 

r6seau de t^l^camniunication Informaiilque 

5 

dispositif d'acces 

6 

donn^es transport6es 

7 

protocole applicatif 

8 

donn^es de transport 

9 

syst&tie d' exploitation 

10 

automate a etats finis 

11 

modele 

12 

interpretevir 

13 

module d' analyse 

14 

administrateur reseau 

15 

restrictions pr6d6tertDin6es 

16 

premiers moyens de traitement dLnfortnatique 

17 

. seconds moyens de traitement inf onnaticpie 

18 

moyens de param^trage 

19 
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1. Proc^d^ pour s6curiser l^acc^s logique k des 
informations (1) et/ou k des ressources infonnatiques (2) d'un 
ensCTible d' ^quipements informabiques (3) en ralentissant le 
moins possible ledit acc^s logiqiie ; 

5 ledit ensemble d' ^quipements informatiques (3) 

6changeant des donn^es (4) avec un r^seau de t§l§commianication 
informatique (5), via ion dispositif d'acces (6) ; 

lesdites donn^es (4) cornportant des donn^es 
transport ees (7) conformement a au moins un protocole applicatif 
10 (8) et des donn^es de transport (9) ; 

ledit dispositif d'acc^s (6) coitportant xin systeme 
d' exploitation (10) ; 

ledit proc6d6 conprenant les stapes suivantes : 

- l'6tape de d^finir pour chaque protocole 
15 applicatif (8), un automate k 6tats finis (11) f 

- I'^tape de modeliser, sous la forme d'un modele 

(12) f chaque automate a etats finis (11) r 

- I'^tape de generer au moyen d'\in interpreteur 

(13) , k partir de chaque modele (12) r un module d' analyse (14) 
20 de chaque protocole applicatif (8), 

- I'^tape de filtrer, dans ledit systeme 
d' exploitation (10), lesdites donn^es transportees (7), au moyen 
desdits modules d' analyse (14) . 

2. Proc6d§ selon la revendication 1 ; ledit proc6d6 
25 comprenant en outre : 

- I'^tape de verifier au moyen desdits modules 
d'^ analyse (14) la conformity desdites donn^es transportees (7) 
par rsqpport auxdits protocoles applicatif s (8) concern6s. 

3. Proc4d6 selon I'une quelconcjue des revendications 1 
30 ou 2 ; ledit proc6d6 comprenant en outre : 

- I'^etape de restreindre au moyen dudit module 
d'ancO-yse (14) les possibilit^s offertes par un protocole 

-applicatif- (8) - • - - - ~ 
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4. Proc^dS selon la revendication 3 ; ledit proc6d6 
coitprenant en outre : 

- l'6tape, pour un administrateur r6seau (15), de 
param6trer lesdits modules d' analyse (14) en fonction de 

5 restric±:ions pr4d6tennin6es (16) . 
Dlsposlbif 

5. Dispositif d'acc^s (6) pour securiser I'acc^s 
logique k des informations (1) et/ou a des ressources 
informatiques (2) d'un ensemble d' 6quipements informatiqaes (3) 

10 en ralentissant le moins possUble ledit acces logique ; 

ledit ensemble d' ^quipements informatiques (3) 
4changeant des donn^es (4) avec un rSseau de telecommunication 
informatique (5), via ledit dispositif d'accSs (6) ; 

lesdites donnSes (4) coirportant des donn^es 
15 transport ees (7) conform6ment a au moins un protocole applicatif 
(8) et des donn^es de transport (9) ; 

ledit dispositif d' acces (6) comportant: 

- un syst&ne d' exploitation (10) comportant un 
module d' analyse (14) appropri^ pour chaque protocole aE>plicatif 

20 (8), 

- des moyens de filtration pour filtrer, dans ledit 
systeme d' exploitation (10), lesdites donn^es transport^es (7), 
au moyen desdits modules d' analyse (14). 

6. Dispositif d'accfes (6) selon la revendication 5 ; 
25 chaque module d' analyse (14) implement ant un automate k Stats 

finis (11) reprSsentatif d'un protocole applicatif (8) 
determine • 

7. Dispositif d' acces (6) selon I'une quelconque des 
revendications 5 ou 6 ; lesdits modules d' analyse (14) 

30 comportant : 

- des premiers moyens de traitement informatique 
(17) pour verifier la oonformite desdites donnees trahsportees 
(7) par rapport auxdits protocoles applicatif s (8) concemes. 
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8. Dispositif d'acc^s (6) selon I'line quelconque des 
revendications 5 k 1 ^ lesdlts modules d' analyse (14) 
coirportant : 

- des seconds moyens de traitement informatique (18) 
5 pour restreindre les possibilit6s offertes par un protocole 

applicatif (8) • 

9. Dispositif d^acc^s (6) selon la revendication 8 ; 
ledit dispositif d'acc^s (6) comprenant en outre : 

- des moyens de param^trage (19) permettant k un 
10 administrateur reseau (15) de param6trer lesdits modules 

d' analyse (14) en fonction de restrictions pred^termin^es (16) . 
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